Programa de recompensas de seguridad de CoinEx

Introducción:

El programa “Recompensas de seguridad de CoinEx” tiene como objetivo proporcionar a los usuarios de todo el mundo una plataforma de trading de monedas digitales segura, estable y eficiente. Este programa divide las vulnerabilidades potenciales en tres niveles (del 1 al 3) en función de los riesgos. Para motivar a más usuarios y “white hats” a descubrir y reportar vulnerabilidades de seguridad, se recompensará con hasta 10.000 USDT siempre que estos presenten reportes válidos.

Los principios, las recompensas y los criterios de evaluación del “Programa de recompensas de seguridad de CoinEx”, se describen a continuación.

 

Principios básicos:

1. CoinEx otorga gran importancia a la seguridad de sus productos y servicios. Prometemos hacer un seguimiento, evaluar y solucionar todos los problemas reportados, y responder a todos los reportes de manera oportuna.

2. Para garantizar un seguimiento efectivo, CoinEx puede necesitar la ayuda del investigador del problema de seguridad.

3. CoinEx destaca la divulgación y manejo responsable de las vulnerabilidades. Prometemos ofrecer reconocimiento y recompensas a cada usuario que se adhiera al espíritu “white hats” (sombreros blancos), que quieran proteger los intereses de los usuarios y ayudar a CoinEx a mejorar la seguridad.

4. CoinEx se opone y condena todas las actividades de piratería que utilizan pruebas de vulnerabilidad como excusa para dañar los intereses de los usuarios de nuestra plataforma, incluidas, entre otras, la explotación de vulnerabilidades para violar la privacidad de los usuarios y robar activos digitales, la invación sistemas comerciales, el robo de datos de usuarios y la propagación maliciosa de vulnerabilidades.

5. CoinEx se opone, y condena, todos los actos de uso de vulnerabilidades de seguridad para intimidar a los usuarios y atacar a los competidores.

6. CoinEx se reserva el derecho de interpretación final de este programa de recompensas de seguridad en cualquier momento.

 

Criterios de evaluación y recompensas:

Nivel   Recompensa
Nivel 1 200-1,000 USDT
Nivel 2 1,500-4,000 USDT
Nivel 3

5,000-10,000 USDT

  • Nivel 1

Definición: Las vulnerabilidades de este nivel pueden presentar peligros limitados o posibles riesgos de seguridad.

Categorías:

(1) Mal uso de la interfaz del código de verificación, ataques de fuerza bruta a los códigos de verificación y contraseñas.

(2) Vulnerabilidades menos dañinas, como ataques CSRF con operaciones no confidenciales y falsificación de correo SPF.

(3) Vulnerabilidades que afecten la disponibilidad y estabilidad del sistema, provocando una falla de respuesta del mismo.

  • Nivel 2

Definición: Las vulnerabilidades de este nivel comprometen la información confidencial o la seguridad de los activos. Pueden causar ciertos impactos o pérdidas.

Categorías:

(1) Vulnerabilidades como los ataques XSS y CSRF que afectan a algunos usuarios, provocan la filtración de las credenciales de los mismos o desencadenan operaciones confidenciales no autorizadas.

(2) Vulnerabilidades en la lógica de verificación, restablecimiento de contraseña, etc. que pueden explotarse para acceder a las cuentas de los usuarios.

(3) Vulnerabilidades en el diseño de productos que comprometen la seguridad de los datos y los activos.

  • Nivel 3

Definición: las vulnerabilidades de este nivel pueden causar pérdidas graves de activos o fugas masivas de información confidencial.

Categorías:

(1) Vulnerabilidades que dañan la seguridad de los activos de los usuarios o la propiedad de la empresa, como la fuga de claves privadas, vulnerabilidades de depósitos, etc.

(2) Vulnerabilidades de alto riesgo como inyección SQL, ejecución remota de código, etc. que permiten el acceso no autorizado al sistema para obtener permisos del mismo.

(3) Acceso no autorizado a información confidencial, como a las cuentas de los usuarios, acceso ilegal a datos confidenciales en el backend del sistema, etc.

 

Proceso del “Programa de recompensas de seguridad de CoinEx”:

1. Enviar un reporte:

Cada investigador de seguridad puede enviar el reporte a support@coinex.com o abrir un ticket de soporte.

Nota: el reporte debe ser lo más detallado posible, incluyendo textos, URLs, capturas de pantalla, etc. Si es necesario, adjunten archivos.

2. Investigación y evaluación de vulnerabilidades:

(1) Dentro de los primeros tres días hábiles, CoinEx revisará el informe e investigará el problema.

(2) Dentro de los primeros siete días hábiles, CoinEx dará una conclusión y determinará el nivel de vulnerabilidad. Si es necesario, nos pondremos en contacto con el investigador para seguir profundizando en el problema, y su ayuda será muy bien recompensada. 

3. Solucionar el problema reportado: 

(1) Nuestro departamento técnico solucionará el problema de seguridad reportado previamente y programará una actualización. El tiempo de reparación depende de la gravedad del problema y de las dificultades técnicas. Por cuestiones de seguridad de los clientes, el tiempo de solución dependerá de la situación, ya que esto puede afectar la fecha de finalización.

(2) El investigador puede revisar si ya se solucionó el problema de seguridad que reportó.

4. Etapa final:

Una vez completada la reparación, CoinEx distribuirá la recompensa al investigador de seguridad de acuerdo con los "Criterios de evaluación y recompensas".

 

Preguntas más frecuentes:

P: ¿CoinEx divulgará la información relacionada con los reportes de vulnerabilidad?

R: Para proteger los intereses y la privacidad de los usuarios, no divulgaremos públicamente ninguna información sobre los reportes.

 

P: ¿El “Programa de recompensas de seguridad de CoinEx” es un disfraz para dar recompensas y ocultar problemas de seguridad?

R: No. En primer lugar, CoinEx cree que la información relacionada no debe divulgarse para proteger los intereses y la privacidad de los usuarios, que también es una práctica común en la industria. En segundo lugar, las recompensas pretenden expresar gratitud y respeto a cada investigador, en lugar de ocultar problemas de seguridad.

 

P: ¿CoinEx "ignorará" la vulnerabilidad y luego la solucionará en secreto?

R: Absolutamente no. Si se "ignora" un reporte de vulnerabilidad, nuestro personal explicará el motivo en los comentarios del mismo. Por lo general, esto sucede porque la "vulnerabilidad" no se considera un problema sino que se evalúa como un “Bug” (error). CoinEx no "solucionará la vulnerabilidad en secreto", en ningún caso.